LastPass heeft de persoonlijke gegevens van klanten uit de eigen Salesforce-omgeving gelekt, zo laat de aanbieder van de gelijknamige online wachtwoordmanager weten in een melding aan getroffen klanten en via de eigen website. De gelekte data bestaat uit namen, telefoonnummers, e-mailadressen en adresgegevens, alsmede data met betrekking tot supportverzoeken en verkoopgerelateerde data. Volgens LastPass zijn de gegevens gestolen bij een aanval op Klue.

Klue biedt een 'market intelligence platform' waarbij bedrijven de oplossingen van Klue integreren met andere oplossingen, zoals Salesforce, Slack en Sharepoint. In het geval van LastPass was Klue geïntegreerd met de eigen Salesforce- en Gong-systemen. Een aanvaller wist bij Klue de OAuth tokens te stelen die voor de koppeling met de systemen van klanten worden gebruikt. Gegevens in de Salesforce-omgeving van LastPass konden zo door de aanvaller worden gestolen.

Hoeveel klanten slachtoffer van het datalek zijn geworden laat LastPass niet weten. Naar aanleiding van het incident heeft het bedrijf besloten om de toegang van personeel tot Klue te stoppen en zijn alle API access tokens vervangen. Klanten worden opgeroepen om alert te zijn op phishingaanvallen. Vorig jaar december kreeg LastPass wegens een groot datalek dat zich in 2023 had voorgedaan nog een boete van 1,4 miljoen euro opgelegd.